TokyoBlackHatNews

csoonline.com 4分で読了

旧バージョンREDCapの脆弱性悪用、中国系ハッカーが米・カナダの研究機関を標的に

REDCapのアップグレードプロセスを乗っ取り、マルウェアを埋め込んで学術・医療・防衛関連の研究ネットワークを監視

Googleは、中国との関連が疑われる脅威アクター「UNC6508」による1年以上にわたるサイバースパイキャンペーンについて警告を発しています。このグループは、米国およびカナダの重要な研究環境を継続的に監視していたとされます。

このキャンペーンでは、研究データの収集・管理に広く利用されているプラットフォーム「REDCap」が悪用されました。攻撃者はREDCapのアップグレードプロセスに割り込んで永続化マルウェアを注入していましたが、現在はその活動が阻止されています。

GoogleのThreat Intelligence Group(GTIG)によると、このキャンペーンは特に、大学・学術機関、医療研究センター、医療機関、軍の医療ネットワーク、および防衛関連研究プログラムを標的としていました。

Googleによれば、UNC6508はこれまでも旧バージョンのREDCapへの感染を行っており、今回確認されたキャンペーンはその初期侵害を足掛かりとして永続化コードを展開するものでした。

GTIGの研究者はブログ投稿の中で、「UNC6508がREDCapサーバーへの最初のアクセスをどのように取得したかは確認できなかった」と述べています。「REDCapの設計上、管理者は現行バージョンと並行して旧バージョンのソフトウェアを引き続き実行できます。UNC6508は、複数のターゲット組織のREDCapシステムにおいて、こうした脆弱な旧バージョンを探索していることが確認されました」とも説明しています。

この国家支援グループは、国家安全保障、AI、サイバー作戦、医療研究など、広範にわたる機密性の高い研究・防衛関連情報を狙っていました。

侵入口となった研究プラットフォーム

永続化に加え、このキャンペーンでは認証情報の窃取、内部偵察、侵害後の各種操作も実行されていました。

UNC6508は「INFINITERED」と追跡されるペイロードを使用しました。これは正規のREDCapシステムファイルをトロイの木馬化するよう設計されたモジュール型マルウェアです。このマルウェアは3つの専用コンポーネントで構成されており、それぞれ「ドロッパー兼アップグレードインターセプター」「認証情報ハーベスター」「コマンド&コントロール(C2)付きバックドア」の役割を担っています。

アップグレードインターセプションモジュールは、一部の現行REDCap環境でまだアクセス可能な旧バージョンを読み込みます。この旧バージョンはすでに未知の初期アクセス手段によって悪意あるロジックに感染しており、同モジュールはそのロジックを旧バージョンから抽出し、アップグレード用システムファイルに注入します。

並行して、残り2つのモジュールはそれぞれ、認証情報ハーベスターのコードを認証システムファイルに、バックドアのコードをカスタムフック設定ファイルに注入します。

GTIGの研究者はブログ投稿の中で、「UNC6508はREDCapサーバーへの足掛かりを確立すると、内部偵察と認証情報の探索を行い、データベースおよびサービスアカウントの認証情報を取得した」と述べています。また「脅威アクターは『help.php』という名前のウェブシェルも展開しており、このシェルがREDCapアプリケーション内での永続性の維持とアップローダーとしての機能を担っていた」とも説明しています。

このバックドアはファイル管理、シェルコマンドの実行、システム情報の収集、そして侵害されたREDCapサーバーの制御維持を可能にする多彩なリモートコマンドをサポートしており、UNC6508に豊富な侵害後のツールキットを提供しています。

REDCapのメンテナーはCSOからのコメント要請に応じませんでした。

INFINITEREDの検出と除去

INFINITEREDはREDCapのアップグレードワークフローに組み込まれ、正規のアプリケーションファイルを改ざんするため、各組織はGTIGが提供するYARAルールを活用して、REDCap環境における不正なファイル改ざん、不審なウェブシェル、認証情報窃取の痕跡を調査することが推奨されています。

Googleはさらに、脆弱なREDCap環境のアップグレード、現行バージョンと並行してアクセス可能な状態の旧バージョンの見直し、アップグレード前後におけるアプリケーションファイルの完全性検証も推奨しています。フィッシング耐性のある2段階認証の実施、デバイスにバインドされたセッション認証情報の利用、および適切なDLPルールの適用も、より厳格な管理策として推奨されています。

Googleは、INFINITEREDによって侵害されたと判断した米国およびカナダの複数の組織に対して通知を行い、修復支援を提供したと述べています。

翻訳元: https://www.csoonline.com/article/4185582/china-linked-hackers-target-us-canada-research-using-legacy-redcap-exploits.html

ソース: csoonline.com
#Google GTIG #INFINITERED #REDCap #UNC6508 #サイバースパイ #マルウェア #中国系脅威アクター #医療・研究機関 #脆弱性悪用 #認証情報窃取

関連記事

Cisco、悪用確認のSD-WAN脆弱性にパッチを公開

ゼロトラストは壊れていない――ほとんどの企業が実装を誤っているだけ

パッチ公開から数ヶ月後も続くLangflow RCEへの積極的な攻撃